Kapan Cyber Security Menjadi Tak Cukup? Kapan Tamper Detector Perlu?

Penulis: Tim Morin (Technical Fellow, unit bisnis FPGA, Microchip Technology Inc.)

Kapan masalah cyber security (keamanan siber) menjadi masalah physical security (keamanan fisik)? Atau dengan kata lain, kapan semikonduktor harus dilengkapi dengan aneka tamper detector?

Bagi perusahaan-perusahaan yang membangun sistem senjata generasi berikutnya untuk Angkatan Bersenjata Amerika Serikat atau angkatan bersenjata lainnya, jawabannya jelas. Mereka harus berasumsi bahwa peralatan akan tertinggal dan kemudian diotak-atik. Semikonduktor yang dilengkapi dengan aneka tamper detector memberikan para rekayasawan berbagai perkakas untuk memenuhi persyaratan DoD (Department of Defense — Departemen Pertahanan) dan juga digunakan secara luas untuk memungkinkan penjualan ke militer negara asing.

Bagaimana dengan pasar-pasar di luar pertahanan yang lebih luas? Beberapa orang berpikir bahwa mereka hanya membutuhkan cyber security karena keamanan “fisik” mereka sudah terjaga melalui berbagai pagar, gerbang, penjaga, kamera, firewall, serta karyawan mereka sendiri yang membangun dan/atau membuat sistem mereka. Itu mungkin sudah cukup. Namun, kita harus bertanya pada diri sendiri, dalam kondisi apa saja seseorang (bisa jadi seorang karyawan) dapat memiliki akses ke sebuah peralatan dan apa saja yang dapat mereka lakukan terhadapnya, sehingga fungsi peralatan tersebut dapat dieksploitasi atau rahasia-rahasia dapat diekstraksi?

Perusahaan kemudian harus menjawab pertanyaan: “Apakah rantai pasokan kami dikelola dengan aman? Apakah peralatan atau kiriman kami pernah ‘hilang’? Bagaimana peralatan dapat dinonaktifkan? Siapa yang menyervis peralatan dan bagaimana peralatan ditingkatkan?” Jawaban atas pertanyaan “Siapa memiliki akses ke sebuah peralatan selama masa hidup peralatan tersebut dan apa saja yang dapat mereka lakukan dengan peralatan tersebut?” akan membantu mendorong proses-proses pengambilan keputusan suatu organisasi.

Berikut adalah isu-isu keamanan utama yang perlu dipertimbangkan:

Manufaktur - bangun papan PCB, rakit dan uji

• Selama pemrograman perangkat non-volatile, apakah para perusahaan menggunakan image yang di-hash dan di-sign? Apakah ada log yang dapat diaudit tentang apa yang telah disediakan, jumlah papan yang telah disediakan, dan jumlah papan yang gagal dalam outgoing test? Apakah para log ini di-hash dan di-sign?
• Apakah porta debug dinonaktifkan?

Pengiriman ke pelanggan

• Dapatkah organisasi dapat mempertanggungjawabkan jumlah unit yang dikirim dan unit yang diterima oleh pelanggan? Sebagian besar pelanggan akan langsung mengatakan “Hei, barangnya kurang satu!”. Namun, bagaimana jika pelanggan terlewat karena alasan apa pun? Perusahaan harus berasumsi bahwa ada satu unit yang berada di luar sana.
• Dapatkah suatu perusahaan dan para pelanggannya memverifikasi integritas peralatan yang dikirimkan? Bisakah mereka memverifikasi bahwa peralatan tidak diotak-atik selama dalam perjalanan?

Penggunaan peralatan

• Apakah ada segel-segel anti-tamper pada peralatan?
• Apakah hanya teknisi resmi yang bisa menyervis peralatan?
• Apakah pembaruan jarak jauh diperbolehkan?
• Jika ya, apakah para image terverifikasi utuh dan asli?
• Apakah ada mekanisme untuk mencegah berbagai roll back?
• Ketika peralatan dinonaktifkan, apakah dinolkan (di-wipe)? Dibuat tidak bisa beroperasi? Dihancurkan?

Jika jawaban untuk setidaknya salah satu pertanyaan di atas “tidak”, maka organisasi harus sangat mempertimbangkan semikonduktor yang dilengkapi dengan anti-tamper countermeasure sehingga mereka dapat menyesuaikan respons mereka terhadap berbagai skenario pengotak-atikan yang kemungkinan dihadapi suatu peralatan selama siklus hidupnya. Misalnya, suatu produk FPGA harus memiliki beberapa fitur anti-tamper yang dapat digunakan untuk mengeluarkan respons ancaman yang telah disesuaikan (Gambar 1). Contohnya termasuk:

• Tamper flag digital dengan jumlah yang memadai.
• Beberapa analog windowed voltage detector yang memberikan trip point tinggi dan rendah untuk setiap pasokan tegangan kritis (Vdd, Vdd18, Vdda25).
• Sebuah digital windowed temperature yang memberikan suhu tinggi dan rendah dari die.
• Nilai mentah tegangan dan suhu dari detektor suhu yang built-in.
• Sebuah system controller slow clock yang menunjukkan suatu kondisi brownout dari system controller.
• Sebuah bus digital (setidaknya 5 bit) yang menunjukkan sumber dari suatu reset perangkat (pin DEVRST, input makro tamper, pengawas system controller, security lock tamper detector yang telah diaktifkan, reset lainnya).

Gambar 1. Atribut desain dan keamanan data perangkat Microchip PolarFire FPGA dan PolarFire SoC FPGA.